Privacy, ook voor uw onderneming vanaf nu een aandachtspunt?
De Europese Unie heeft op 14 april van vorig jaar een akkoord bereikt over de nieuwe zogenaamde “Algemene Verordening Gegevensbescherming” (hierna “AVG” of beter bekend onder haar Engelse benaming “GDPR”).
Deze verordening zal in werking treden in alle Europese lidstaten op 25 mei 2018 en verandert de manier waarop ondernemingen met persoonsgegevens moeten omgaan op drastische wijze.
Europese ondernemingen (maar ook bepaalde niet-Europese ondernemingen die zich naar de Europese markt richten) hebben dus minder dan twee jaar de tijd om de nodige hervormingen door te voeren op juridisch en technisch gebied.
De impact van deze nieuwe verordening zal van onderneming tot onderneming verschillen en afhankelijk zijn van de sector waarin de onderneming actief is.
De AVG zal in België de Belgische Privacywet van 1992 en in Nederland de Nederlandse Wet Bescherming Persoonsgegevens van 2000 vervangen.
DE BELANGRIJKSTE KERNELEMENTEN VAN DE ALGEMENE VERORDENING GEGEVENSBESCHERMING
Voor wie?
Persoonsgegevens zijn alle gegevens over een geïdentificeerde of identificeerbare natuurlijke persoon, zoals de naam, adres, fysieke, genetische informatie, etc. van die natuurlijke persoon.
De Algemene Verordening Gegevensbescherming is van toepassing op alle ondernemingen (en organisaties) die persoonsgegevens verwerken in hun hoedanigheid van “verwerker” of “verantwoordelijke voor de verwerking”. Onder ‘verwerken’ wordt verstaan het opslagen, bewaren, aanpassen,… van persoonsgegevens. De AVG zal dus op heel wat ondernemingen van toepassing zijn.
Verder is de AVG niet alleen van toepassing op ondernemingen die binnen de Europese Unie zijn gevestigd maar eveneens, onder bepaalde voorwaarden, op ondernemingen die zich buiten de grenzen van de Europese Unie bevinden.
Gronden voor verwerking van persoonsgegevens
De verwerking van persoonsgegevens is rechtmatig indien de verwerking gebaseerd is op één van de verwerkingsgronden die staan opgesomd in de AVG. Zo is de verwerking van persoonsgegevens toegestaan indien zij noodzakelijk is voor de uitvoering van een overeenkomst. Dit is bijvoorbeeld het geval wanneer een webshop de gegevens van de consument (naam en adres) verwerkt in het kader van een levering van de door de consument bestelde goederen.
Verder is de verwerking van persoonsgegevens bijvoorbeeld ook toegestaan indien de betrokkene zijn toestemming heeft gegeven voor de verwerking van zijn/haar persoonsgegevens. Deze toestemming moet op een vrije, specifieke, geïnformeerde en ondubbelzinnige wijze worden gegeven waardoor het systeem van de zogenaamde “opt-out”, dat vaak wordt gebruikt in het kader van online marketing, moet worden vervangen door een opt-in systeem.
Nieuwe rechten van de betrokkene onder de AVG
De betrokkenen (consumenten) beschikken tevens over een aantal nieuwe rechten onder de AVG, waaronder: (i) het recht om op eender welk moment zijn/haar toestemming in te trekken, (ii) het recht op overdraagbaarheid van zijn/haar persoonsgegevens en (iii) het recht op de uitwissing van zijn/haar persoonsgegevens. Deze nieuwe rechten moeten de betrokkenen meer controle geven over het gebruik van hun persoonsgegevens maar houden in de praktijk een verhoging in van de administratieve lasten voor ondernemingen.
Nieuwe verplichtingen voor organisaties onder de AVG
De AVG legt een aantal nieuwe verplichtingen op aan ondernemingen. We zetten kort de voornaamste op een rijtje:
- “Gegevensbeschermingseffectbeoordeling” (“Data Protection Impact Assessment”)
Een zogenaamde” gegevensbeschermingseffectbeoordeling” zal in de meeste gevallen verplicht moeten worden toegepast om de nieuw pas geïntroduceerde concepten, namelijk “gegevensbescherming door ontwerp” (“privacy by design”) en door “standaardinstellingen” (privacy by default”), te kunnen toepassen. Het gaat er hier concreet om dat ondernemingen onder de AVG bepaalde maatregelen en processen zullen moeten invoeren waardoor zij zelf kunnen aantonen (bij controle) dat zij aan alle verplichtingen van diezelfde AVG voldoen.
- Verplichte functionaris voor gegevensbescherming (“Data Protection Officer”)
Een onderneming kan overeenkomstig de AVG verplicht worden om een functionaris voor gegevensbescherming aan te stellen die aan bepaalde kwalificaties moet voldoen en als eerste aanspreekpunt zal worden aanzien.
- Inbreuk i.v.m persoonsgegevens (“ Notification of a personal data breach”)
Een inbreuk i.v.m. de persoonsgegevens dient aan de toezichthoudende autoriteit (“supervisory authority”) te worden gemeld binnen 72 uur na kennisname van de desbetreffende inbreuk, tenzij deze inbreuk geen risico inhoudt voor de rechten en vrijheden van de natuurlijke personen. Het is dan ook aangewezen dat de onderneming over een aangepast beleid en procedures beschikt om hier vlot tegen te kunnen optreden.
Sancties!
De niet-naleving van de AVG kan resulteren in administratieve geldboetes van:
- 10 miljoen euro of 2% van de totale wereldwijde jaaromzet (als dit bedrag hoger is) indien een onderneming haar verplichtingen als verwerkingsverantwoordelijke of als verwerker niet nakomt, en
- 20 miljoen euro of 4 % van de totale wereldwijde jaaromzet (als dit bedrag hoger is) indien een onderneming de basisbeginselen inzake de gegevensverwerking of de rechten van de betrokkenen niet respecteert.
Op basis van bovenstaande uiteenzetting is het aanbevolen voor ondernemingen om een proactief en pasklaar kader op te stellen dat de kernelementen van de AVG weerspiegelt en tevens beantwoordt.
Tim Fransen, advocaat K law
Mathias De Backer, advocaat K law
Kratos Law civ. CVBA/SCRL civ. is an independent law firm which has entered into a cost association with KPMG Tax Advisers civ. CVBA/SCRL civ.
Voor meer informatie over de AVG of de verplichtingen die u als onderneming heeft:
Tim Fransen
0032.2.708.36.82